18. Juli 2006
Was eigentlich die Arbeit von Administratoren erleichtern soll, scheint eine neue Bedrohung zu eröffnen: Der regelmäßige monatliche "Patch Day", an dem Microsoft aufgelaufene Sicherheits-Updates veröffentlicht, verführt offenbar dazu, bestimmte Angriffe zurückzuhalten, um ein möglichst langes Verwundbarkeitsfenster ausschöpfen zu können. Schon zum wiederholten Mal wurde jetzt eine so genannte Zero-Day-Schwachstelle – lies: "Null Tage Vorwarnzeit" – kurz nach einem Patch-Day bekannt: Mitte Mai handelte es sich um eine Word-Sicherheitslücke, Mitte Juni war es ein Excel-Problem. Und diesmal ist PowerPoint betroffen – das Sicherheitsbarometer der Initiative "Deutschland sicher im Netz" steht auf "orange" (hohes Risiko), das deutsche Bürger-CERT sah sich zu einer Extraausgabe seines Newsletters "sicher · informiert" veranlasst, das BSI versandte eine Warnmeldung.
Andreas Marx von AV-Test sieht hier einen klaren Trend und warnt gleichzeitig davor, dass derartige Attacken gezielt gegen Unternehmen eingesetzt werden: In den ersten Tagen nach dem Bekanntwerden der neuen PowerPoint-Lücke seien alleine bei AV-Test mehr als 30 speziell präparierte Office-Dokumente von Firmen eingegangen, die derart angegriffen wurden. Es steht zu befürchten, dass gezielt Industriespionage betrieben werden sollte. Der Transportweg "Office-Datei" scheint hier eine Renaissance zu erleben, da ein generelles Blockieren solcher Dateien wegen der intensiven Nutzung im Unternehmensumfeld kaum infrage kommt. Überdies kann Anti-Virus-Software prinzipbedingt keinen (zumindest keinen sofortigen) Schutz gegen derart neue oder sogar speziell gestaltete Malware bieten.
Als Gegenmaßnahmen, die solche Angriffe zumindest eindämmen könnten, empfiehlt Marx restriktive Zugriffsrechte im internen Netz und das Arbeiten mit eingeschränkten Benutzerkonten. Zudem solle man den Speicherschutz von Windows XP (Data Execution Prevention, DEP) gegen Buffer Overflows möglichst für alle Anwendungen aktivieren, sofern diese damit fehlerfrei arbeiten (Hinweise zur Kompatibilität dieser Funktion siehe "Handbuch für die Anwendungskompatibilität", Abschnitte Testen der Anwendungskompatibilität und Minimieren von Kompatibilitätsproblemen).